コンテナ セキュリティ

Prisma Cloudでパブリックでもプライベート クラウドでも、Kubernetes® などコンテナ プラットフォームを構築から実行まで保護
Container Security Hero Front Image
Container Security Hero Back Image

コンテナ、Kubernetes、Container as a Service (CaaS)は、大規模なサービスをパッケージ化およびオーケストレーションするための主要な方法になっています。これに伴い、コンテナ化アプリケーションの脆弱性管理、コンプライアンス、ランタイム保護、ネットワーク セキュリティの要件に対応した専用のセキュリティの採用が求められています。

Forrester Wave™ CWS部門でPrisma Cloudがリーダーに選出。

アプリケーションのライフサイクル全体にわたるコンテナ セキュリティ

Prisma® Cloudはコンテナ イメージをスキャンし、継続的インテグレーションと継続的デリバリーのワークフローの一環としてポリシーを適用し、リポジトリやレジストリ内のコードを継続的に監視します。そして、リスクの優先順位付けを大規模なランタイム保護と組み合わせて、管理対象と管理対象外両方のランタイム環境を保護します。
  • パブリック クラウドとプライベート クラウドのサポート
  • 管理対象/管理対象外の環境に単一のコンソールで対応
  • リポジトリ、イメージ、コンテナのライフライクル全体のセキュリティ
  • 脆弱性管理
    脆弱性管理
  • コンテナのコンプライアンス
    コンテナのコンプライアンス
  • CI/CDのセキュリティ
    CI/CDのセキュリティ
  • ランタイム保護
    ランタイム保護
  • アクセス制御
    アクセス制御

Prisma Cloudソリューション

コンテナ セキュリティに対するアプローチ

脆弱性管理

構築、導入、実行の各フェーズにおいて、コンテナのすべての依存関係を完全に可視化することから始めます。CaaSやホストで動作するコンテナとCI/CDパイプラインの脆弱性を、Prisma Cloudによりパブリック クラウドとプライベート クラウドで継続的に集約して優先順位付けします。

  • ガイダンスに基づいて修復を優先順位付け

    脆弱性トップ10リストを使用し、すべての既知のCVE、修復ガイダンス、レイヤーごとのイメージ分析において、リスクの優先順位付けを行います。

  • 重大度レベルのアラートとブロックを備えたガードレールを追加

    構築時および実行時に、個々のサービスおよびサービス グループに対するアラートやブロックの重大度レベルを制御します。

  • 極めて高い精度を活用

    30個を超えるアップストリーム データ ソースで誤検知を最小にします。Prisma Cloudでは、開発者やセキュリティ チームに正確な脆弱性情報のみを提供することに重点を置いています。

  • ライフサイクル全体の脆弱性情報を提示

    脆弱性管理を組み込み、リポジトリ、レジストリ、CI/CDパイプライン、ランタイム環境をスキャンします。

Vulnerability management

コンテナのコンプライアンス

コンテナ環境の保守担当者は、サーバベースのモノリスに比べ、独特の設定問題に直面しています。Prisma Cloudは、標準装備でカスタマイズ可能なコンプライアンス チェックを400項目以上提供し、コンテナ環境におけるコンプライアンス体制を強化します。

  • 長期にわたりコンプライアンスの監査履歴を維持する

    Prisma Cloudでは、コンテナ体制の継続的かつ最新のビューと、過去のスキャンの詳細な履歴に基づいて、全体的なコンプライアンスの評価を確認します。

  • 事前構築済みのカスタム ポリシーに基づいて構築と導入を制御

    PCI DSS、HIPAA、GDPR、DISA STIG、NIST SP 800-190などの主要なフレームワークのテンプレートを使用したり、組織のニーズに合わせてテンプレートをカスタマイズします。

  • CISベンチマークと独自のチェックを実装

    CISベンチマークの事前設定済みのチェックと、Docker®、Kubernetes、Linux、Windows®、Istio™に関してPrisma Cloudによる調査を活用します。

  • ライセンスのコンプライアンス レベルを設定

    組織の要件を満たさないライセンスや、属性などの追加の詳細情報を必要とするライセンスを自動的に警告したり、ブロックしたりします。

  • イメージの信頼性を管理

    信頼できるグループとイメージを使用して、安全なイメージだけを本番環境に導入できます。

  • 構築時と実行時にコンプライアンス チェックを追加

    開発ライフサイクルの各ステップで設定ミスに対するアラートとガードレールを実装することで、パッチ不整合を軽減し、本番環境における設定ミスを回避します。

test

CI/CDのセキュリティ

コンテナを保護する最も効果的な戦略は、開発ライフサイクルの各ステップで問題を検出して修復することです。CI/CDワークフローでは、自動化されたセキュリティ チェックを既存の開発プロセスに組み込むことができるため、開発者とセキュリティ チーム両方の負担が軽減されます。

  • リポジトリとレジストリをスキャンして、脆弱性と設定ミスを検出

    ソース コードとイメージをチェックして、GitHubなどのリポジトリや、Docker、Quay、Artifactoryなどのレジストリにおいて、脆弱性とコンプライアンスの問題を検出します。

  • 導入を検証済みイメージに限定する

    信頼できるグループとイメージを使用して、安全なイメージだけを本番環境に導入できます。

  • CIツールにセキュリティを組み込む

    Prisma Cloudは、問題のあるイメージを警告し、Jenkins、GitHub Actions、CircleCI、AWS CodeBuild、Azure DevOps、Google Cloud BuildなどのCIツールからブロックする統合機能を備えています。

  • あらゆる段階で脆弱性をスキャン

    CLIとリポジトリ スキャンから、パッケージの脆弱性とオープン ソース ライセンスに関するフィードバックを提供します。

CI/CDのチェック

ランタイム保護

コンテナはさまざまな環境で動作しながら、自動的にスケーリングします。Prisma Cloudは、予測と脅威に基づく保護機能を使用して、オーバーヘッドを増やすことなく、一時的なコンテナを保護します。vanilla Kubernetes、マネージドKubernetes、およびCaaS環境でスタンドアロン動作するコンテナを、弊社のエージェントで保護します。

  • 単一のエージェントとコンソールでセキュリティを簡素化

    すべての管理対象外/管理対象サービスとすべてのCRI準拠ランタイムで、クラウドとオンプレミス環境のコンテナに対するサポートを活用します。

  • 異常な動作を自動検出

    プロセス、ネットワーキング、ファイル システムの動作に基づいて、実行中のコンテナを自動的にプロファイリングし、既知の不正な動作や異常な動作を検出します。

  • 環境全体のネットワークを可視化

    クラウド環境におけるすべてのコンテナのネットワーク通信をリアルタイムで表示します。

  • 自動的にキャプチャされたフォレンジックの詳細情報を使用してインシデントに迅速に対応

    インシデントに至るまでのイベントとインシデント発生後のイベントの履歴を表示して、脅威ハンティングとライフサイクル分析を行います。

ランタイム保護

アクセス制御

コンテナ ランタイムやKubernetesのデフォルトでは、過度に寛容なアクセス権が作成されます。Prisma Cloudは、DockerとKubernetesに対するユーザーとコントロール プレーンのアクセス権を制限して、攻撃対象領域を縮小します。

  • Dockerコマンドのアクセス権を制御

    Dockerコマンド実行アクセス権を持つユーザーを、環境ごとにきめ細かく制御します。

  • 機密保持機能をコンテナに安全に組み込む

    Prisma Cloudは、CyberArkやHashiCorpなどのシークレット管理ツールと連携して機密を保護し、必要に応じてコンテナに安全に渡します。

  • 管理されたOpen Policy Agent (OPA)を使用してポリシー適用を簡素化

    ポリシーをコードとして簡単に作成し、OPAの決定を適用します。

  • 詳細なログを自動化および集約

    脆弱性、コンプライアンス違反、ランタイム イベントに関する監査イベントは、単一の検索可能なダッシュボードで自動的に生成、収集、集約されます。

アクセス制御
Prisma Cloud
Prisma Cloud
Prisma® Cloudは業界で最も完全なクラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)です。開発ライフサイクル全体を通してクラウド ネイティブ テクノロジ スタック全体のインフラ、ワークロード、アプリケーションを保護する業界で最も幅広いセキュリティ機能とコンプライアンス機能を有します。また、ハイブリッド環境とマルチクラウド環境の両方に対応しています。

クラウド ワークロード保護モジュール

ホスト セキュリティ

パブリック クラウドやプライベート クラウドで仮想マシン(VM)を保護。

コンテナ セキュリティ

Kubernetesをはじめとするコンテナ プラットフォームをパブリック クラウドやプライベート クラウド上で保護。

サーバレス セキュリティ

アプリケーション ライフサイクル全体でサーバレス機能を保護。

WebアプリケーションとAPIのセキュリティ

パブリック クラウドとプライベート クラウドをレイヤー7の脅威やOWASPトップ10の脅威から保護。

主なリソース

Prisma Cloudのメリットをより詳しく知る